FileMon使用实例.docVIP

Filemon使用实例 RegMon的大名想必对大多数玩家们来说是如雷贯耳，随便打开一台老鸟们的电脑，发现就像发现酷爱运动的人随身带一把瑞士军刀一样简单。用RegMon 可以监视各种程序对注册表的种种操作，所以喜欢修改注册表的各位老鸟们，自然是随身得带上这样一把“瑞士军刀”的了。 　　不过，今天的主角不是RegMon，而是RegMon的同门兄弟FileMon。不知在RegMon使用多了以后，会不会有一种感觉，确切地一点儿说是有些遗憾，那就是RegMon只能对注册表的各种操作进行监视，而实际上我们有时还要求对文件的监视操作。在这种需求下，Sysinternals公司（RegMon的娘家）又为大家推出了FileMon（图一）。 　　FileMon的最新版本是Ｖ4.32，大小只有77K，可谓是小巧玲珑。您可以他的娘家[url]http://www.S[/url] 或是国内的Kun Studio [url][/url] 去下载一个，一二分钟搞定。 　　打开FileMon，惊奇地发现FileMon的界面与RegMon的界面是那么的十分类似，不愧是同门兄弟，完全是一对双胞胎！！！所以用惯了RegMon后再用FileMon，不用再学习也不用别人指导，三分钟之内您就可以完全上手。标准的Windows应用程序界面，从上到下依次是标题栏、菜单、工具栏、主窗口和状态栏。而且最常用的功能也都放在了工具栏上了（图二）。保存、捕捉事件、滚动、清屏、时钟，过滤、历史深度，查找和资源管理器。 　　下面就简要地介绍工具栏上的这些按钮的功能： 　　 保存：那就是可以将当前监视到的记录以*.log格式保存起来，便于以后的继续研究。 　　 捕捉事件：当按钮被按下时会出现一个红X字，这时表示不对当前的各种操作进行监视。再按一下，切换回监视状态。 　　滚动：当按钮上变为一个红X字时表示在主窗口中的的监视结果不进行滚动。 　　 时钟：计时方式的变化。 　　 过滤：当按下此按钮后，会弹出一个过滤框（见图三）。在这里可以填下对什么样的程序进行文件监操作。 　　历史深度：在这儿可以设置主窗口里只保留最新的XX条记录。 　　 查找： 在已监视到的记录中查找您所要的内容。 　　资源管理器：在主窗口中选中一条记录，然后点击此键便可打开资源管理器，并跳到记录所示目录下。很是方便。 ? 　　大致了解了以上功能之后，我们再以一个实例操作来具体掌握FileMon的妙用。 　　Norton Disk Doctor（以下简称为NDD 见图四） 也是一款让老鸟们爱不释手的超强工具，从DOS下的就开始的NDD 以其强劲地修复磁盘的功能被人们亲切地称为“磁盘医生”。 发展到现在，NDD已成为Symantec 公司的Norton Utilities 2001（又称SystemWorks， 以下简称为NU）的组件之一。但是如果我们只是想用NDD，却要装上一个庞大的NU的活，这让人有点儿不舒服。而且我们还发现NDD虽为NU的组件之一，但她可以不经过安装而直接运行，这样一来，我们就有可能将NDD从NU中提取出来了。 　　当然，想从257个文件和9 个目录共68M的庞然大物中提取我们要想的NDD却是一件不容易的事。不借助什么工具，你没法判断NDD需要哪些文件的支持和调用。Windows的天下，大部分应用程序都不是仅仅一个EXE文件可以搞定，动不动就要调用什么DLL和VXD的文件。所以在这里我们就需要借助于FileMon来确定NDD所需哪些文件。 　　好了，先准备好Norton Utilities 2001 的安装文件（见图五）。 　　然后在新建一目录Norton Disk Doctor，将NU安装文件中的Ndd32.exe文件复制到Norton Disk Doctor目录中。为了排除其它因素的干扰，请在打开FileMon之前将关闭其它多余的应用程序。“喂！说你了！快把Winamp关了，想一边干活一边听歌？你还是省省吧。”准备好这些，那可以开工了！ 　　先双击一下Ndd32.exe文件，这时NDD启动出错（见图六）。没关系，我们就是要它在这儿出错。将窗口切换回FileMon，可以看到FileMon已经监视到了不少记录了（图七）。 　　赶紧按下“捕捉事件”按钮，出现一红X，暂停对以后事件的监视，这样我们就可以安心地对刚才所发生的事件仔细分析一下了。在主窗口中共有216条件，关键的是哪些了？“#”表示记录号，“Time”是时间，“Process”表示进程，“Request”是操作请求，“Path”是路径，“Result”结果和“Other”结果。了解各栏的含义后才可能真正地懂得如何操作。 　　这儿再插一句，在一个应用程序启动时，往往还需要调用其它一些文件，而